ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > AddTrust రూట్ సర్టిఫికేట్ తగ్గింపు OpenSSL మరియు GnuTLS సిస్టమ్‌లపై క్రాష్‌లకు కారణమవుతుంది

AddTrust రూట్ సర్టిఫికేట్ తగ్గింపు OpenSSL మరియు GnuTLS సిస్టమ్‌లపై క్రాష్‌లకు కారణమవుతుంది

మే 30న, రూట్ సర్టిఫికెట్ యొక్క 20 సంవత్సరాల చెల్లుబాటు వ్యవధి ముగిసింది AddTrust, ఇది దరఖాస్తు చేసుకున్నాడు అతిపెద్ద సర్టిఫికేషన్ అథారిటీలలో ఒకటైన సెక్టిగో (కోమోడో) యొక్క క్రాస్-సైన్డ్ సర్టిఫికేట్‌లను రూపొందించడానికి. వారి రూట్ సర్టిఫికేట్ స్టోర్‌కు కొత్త USERTRust రూట్ సర్టిఫికేట్ జోడించబడని లెగసీ పరికరాలతో అనుకూలత కోసం క్రాస్-సైనింగ్ అనుమతించబడింది.

AddTrust రూట్ సర్టిఫికేట్ తగ్గింపు OpenSSL మరియు GnuTLS సిస్టమ్‌లపై క్రాష్‌లకు కారణమవుతుంది

సిద్ధాంతపరంగా, AddTrust రూట్ సర్టిఫికేట్ రద్దు చేయడం వలన లెగసీ సిస్టమ్‌లతో (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, మొదలైనవి) అనుకూలత ఉల్లంఘనకు దారి తీస్తుంది, ఎందుకంటే క్రాస్-సిగ్నేచర్‌లో ఉపయోగించిన రెండవ రూట్ సర్టిఫికేట్ మిగిలి ఉంది. చెల్లుబాటు అయ్యే మరియు ఆధునిక బ్రౌజర్‌లు విశ్వసనీయ గొలుసును తనిఖీ చేసేటప్పుడు దానిని పరిగణనలోకి తీసుకుంటాయి. ఆచరణలో చూపించాడు OpenSSL 1.0.x మరియు GnuTLS ఆధారిత వాటితో సహా నాన్-బ్రౌజర్ TLS క్లయింట్‌లలో క్రాస్-సిగ్నేచర్ వెరిఫికేషన్‌తో సమస్యలు. AddTrust రూట్ సర్టిఫికేట్‌కు ట్రస్ట్ చైన్ ద్వారా లింక్ చేయబడిన సెక్టిగో సర్టిఫికేట్‌ను సర్వర్ ఉపయోగిస్తుంటే, సర్టిఫికేట్ గడువు ముగిసింది అని సూచించే లోపంతో సురక్షిత కనెక్షన్ ఇకపై ఏర్పాటు చేయబడదు.

క్రాస్-సైన్డ్ సెక్టిగో సర్టిఫికేట్‌లను ప్రాసెస్ చేస్తున్నప్పుడు ఆధునిక బ్రౌజర్‌ల వినియోగదారులు యాడ్‌ట్రస్ట్ రూట్ సర్టిఫికేట్ పాతబడడాన్ని గమనించకపోతే, వివిధ థర్డ్-పార్టీ అప్లికేషన్‌లు మరియు సర్వర్-సైడ్ హ్యాండ్లర్‌లలో సమస్యలు పాప్ అప్ అవ్వడం ప్రారంభించాయి, ఇది దారితీసింది ఉల్లంఘన работы భాగాల మధ్య పరస్పర చర్య కోసం ఎన్‌క్రిప్టెడ్ కమ్యూనికేషన్ ఛానెల్‌లను ఉపయోగించే అనేక మౌలిక సదుపాయాలు.

ఉదాహరణకు, ఉన్నాయి проблемы డెబియన్ మరియు ఉబుంటులోని కొన్ని ప్యాకేజీ రిపోజిటరీలకు యాక్సెస్‌తో (apt సర్టిఫికేట్ ధృవీకరణ లోపాన్ని రూపొందించడం ప్రారంభించింది), “కర్ల్” మరియు “wget” యుటిలిటీలను ఉపయోగించి స్క్రిప్ట్‌ల నుండి అభ్యర్థనలు విఫలమయ్యాయి, Gitని ఉపయోగిస్తున్నప్పుడు లోపాలు గమనించబడ్డాయి, ఉల్లంఘించారు Roku స్ట్రీమింగ్ ప్లాట్‌ఫారమ్ పని చేస్తోంది, హ్యాండ్లర్లు ఇకపై పిలవబడరు గీత и డేటాడాగ్, ప్రారంభించారు క్రాష్‌లు సంభవిస్తాయి Heroku యాప్‌లలో, ఆగిపోయింది OpenLDAP క్లయింట్లు కనెక్ట్ అవుతాయి, SMTPS మరియు SMTP సర్వర్‌లకు STARTTLSతో మెయిల్ పంపడంలో సమస్యలు కనుగొనబడ్డాయి. అదనంగా, http క్లయింట్‌తో మాడ్యూల్‌ని ఉపయోగించే వివిధ రూబీ, PHP మరియు పైథాన్ స్క్రిప్ట్‌లలో సమస్యలు గమనించబడతాయి. బ్రౌజర్ సమస్య ప్రభావితం చేస్తుంది ఎపిఫనీ, ఇది ప్రకటన నిరోధించే జాబితాలను లోడ్ చేయడం ఆపివేసింది.

గో ఆఫర్లు ఈ సమస్య వల్ల గో ప్రోగ్రామ్‌లు ప్రభావితం కావు సొంత అమలు TLS.

ఇది ఊహించబడిందిసమస్య పాత పంపిణీ విడుదలలను ప్రభావితం చేస్తుంది (డెబియన్ 9, ఉబుంటు 16.04తో సహా, RHEL 6/7) ఇది సమస్యాత్మక OpenSSL శాఖలను ఉపయోగిస్తుంది, కానీ సమస్య స్వయంగా వ్యక్తమైంది డెబియన్ 10 మరియు ఉబుంటు 18.04/20.04 యొక్క ప్రస్తుత విడుదలలలో APT ప్యాకేజీ మేనేజర్ రన్ అవుతున్నప్పుడు కూడా, APT GnuTLS లైబ్రరీని ఉపయోగిస్తుంది. సమస్య యొక్క సారాంశం ఏమిటంటే, అనేక TLS/SSL లైబ్రరీలు సర్టిఫికేట్‌ను లీనియర్ చైన్‌గా అన్వయించాయి, అయితే RFC 4158 ప్రకారం, సర్టిఫికేట్ పరిగణనలోకి తీసుకోవలసిన బహుళ ట్రస్ట్ యాంకర్‌లతో నిర్దేశించిన పంపిణీ చేయబడిన వృత్తాకార గ్రాఫ్‌ను సూచిస్తుంది. OpenSSL మరియు GnuTLSలో ఈ లోపం గురించి ఇది తెలిసిన చాలా సంవత్సరాలు. OpenSSLలో బ్రాంచ్ 1.1.1 మరియు ఇన్‌లో సమస్య పరిష్కరించబడింది గ్నుటిఎల్ఎస్ అవశేషాలు సరిదిద్దలేదు.

ప్రత్యామ్నాయంగా, సిస్టమ్ స్టోర్ నుండి “AddTrust External CA రూట్” సర్టిఫికేట్‌ను తీసివేయమని సూచించబడింది (ఉదాహరణకు, /etc/ca-certificates.conf మరియు /etc/ssl/certs నుండి తీసివేసి, ఆపై “update-caని అమలు చేయండి -certificates -f -v"), దాని తర్వాత OpenSSL సాధారణంగా క్రాస్-సైన్డ్ సర్టిఫికేట్‌లను దాని భాగస్వామ్యంతో ప్రాసెస్ చేయడం ప్రారంభిస్తుంది. APT ప్యాకేజీ నిర్వాహికిని ఉపయోగిస్తున్నప్పుడు, మీరు మీ స్వంత పూచీతో వ్యక్తిగత అభ్యర్థనల కోసం సర్టిఫికేట్ ధృవీకరణను నిలిపివేయవచ్చు (ఉదాహరణకు, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .

సమస్యను నిరోధించడానికి Fedora и RHEL బ్లాక్‌లిస్ట్‌కు AddTrust ప్రమాణపత్రాన్ని జోడించాలని ప్రతిపాదించబడింది:

trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
నవీకరణ-ca-ట్రస్ట్ సారం

కానీ ఈ పద్ధతి పని చేయదు GnuTLS కోసం (ఉదాహరణకు, wget యుటిలిటీని అమలు చేస్తున్నప్పుడు సర్టిఫికేట్ ధృవీకరణ లోపం కనిపించడం కొనసాగుతుంది).

సర్వర్ వైపు మీరు చెయ్యగలరు సవరించాలనే ఆర్డర్ క్లయింట్‌కు సర్వర్ పంపిన ట్రస్ట్ చెయిన్‌లోని సర్టిఫికేట్‌లను జాబితా చేయడం (“AddTrust External CA రూట్”తో అనుబంధించబడిన సర్టిఫికేట్ జాబితా నుండి తీసివేయబడితే, క్లయింట్ యొక్క ధృవీకరణ విజయవంతమవుతుంది). ట్రస్ట్ యొక్క కొత్త గొలుసును తనిఖీ చేయడానికి మరియు రూపొందించడానికి, మీరు సేవను ఉపయోగించవచ్చు whatsmychaincert.com. సెక్టిగో కూడా అందించారు ప్రత్యామ్నాయ క్రాస్-సైన్డ్ ఇంటర్మీడియట్ సర్టిఫికేట్ "AAA సర్టిఫికేట్ సేవలు“, ఇది 2028 వరకు చెల్లుబాటులో ఉంటుంది మరియు OS యొక్క పాత సంస్కరణలతో అనుకూలతను కలిగి ఉంటుంది.

అదనంగా: సమస్య కూడా ప్రయోగాత్మక LibreSSL లో.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి